Help abnow
Résolu/Fermé
juliiie
-
3 avril 2012 à 13:08
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 avril 2012 à 16:32
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 avril 2012 à 16:32
7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 13:17
3 avril 2012 à 13:17
Salut,
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
puis :
Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
puis :
Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
Merci malekal,
ça fait une dizaine de minute que la première action est lancée, bitdefender me trouve pour l'instant un fichier qu'il n'arrive pas à désinfecter:
fichier: system
nom de la détection: Rootkit.Sirefef.Gen
un autre vient d'être désinfecté:
fichier: C\Windows\system32\CnxtHAudService.dll
nom de la détection: Trojan.Sirefef.BP
c'est normal que ça mette autant de temps?
Merci encore pour tes conseils.
J.
ça fait une dizaine de minute que la première action est lancée, bitdefender me trouve pour l'instant un fichier qu'il n'arrive pas à désinfecter:
fichier: system
nom de la détection: Rootkit.Sirefef.Gen
un autre vient d'être désinfecté:
fichier: C\Windows\system32\CnxtHAudService.dll
nom de la détection: Trojan.Sirefef.BP
c'est normal que ça mette autant de temps?
Merci encore pour tes conseils.
J.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 13:42
3 avril 2012 à 13:42
non pas forcément :/
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-03 13:52:37
-----------------------------
13:52:37.149 OS Version: Windows 6.0.6000
13:52:37.149 Number of processors: 2 586 0x605
13:52:37.149 ComputerName: PC-DE-USER UserName: user
13:52:38.834 Initialize success
13:52:39.645 AVAST engine defs: 12040301
13:52:56.540 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
13:52:56.540 Disk 0 Vendor: ST3160815AS 3.AAA Size: 152627MB BusType: 3
13:52:56.556 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-1
13:52:56.556 Disk 1 Vendor: Hitachi_HDP725016GLA380 GMBOA5NA Size: 152627MB BusType: 3
13:52:56.571 Disk 0 MBR read successfully
13:52:56.571 Disk 0 MBR scan
13:52:56.571 Disk 0 Windows VISTA default MBR code
13:52:56.587 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152625 MB offset 2048
13:52:56.602 Disk 0 scanning sectors +312578048
13:52:56.727 Disk 0 scanning C:\Windows\system32\drivers
13:53:03.123 File: C:\Windows\system32\drivers\dfsc.sys **SUSPICIOUS**
13:53:16.820 Disk 0 trace - called modules:
13:53:16.851 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8575cbc0]<<
13:53:16.867 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x843fe630]
13:53:16.867 3 ntkrnlpa.exe[81cb07e2] -> nt!IofCallDriver -> [0x856fa250]
13:53:16.882 \Driver\00000657[0x856fa378] -> IRP_MJ_CREATE -> 0x8575cbc0
13:53:17.569 AVAST engine scan C:\Windows
13:53:26.929 AVAST engine scan C:\Windows\system32
13:53:44.167 File: C:\Windows\system32\cmuda3.dll **INFECTED** Win32:Sirefef-PM [Rtk]
13:56:22.587 File: C:\Windows\assembly\GAC_MSIL\Desktop.ini **INFECTED** Win32:Sirefef-PL [Rtk]
13:56:57.578 AVAST engine scan C:\Windows\system32\drivers
13:57:17.546 AVAST engine scan C:\Users\user
13:57:18.076 File: C:\Users\user\AppData\Local\da6e6557\U\800000c0.@ **INFECTED** Win32:Sirefef-PL [Rtk]
13:59:20.471 AVAST engine scan C:\ProgramData
14:00:08.294 Scan finished successfully
14:05:02.667 Disk 0 MBR has been saved successfully to "C:\Users\user\Desktop\MBR.dat"
14:05:02.683 The log file has been saved successfully to "C:\Users\user\Desktop\aswMBR.txt"
Run date: 2012-04-03 13:52:37
-----------------------------
13:52:37.149 OS Version: Windows 6.0.6000
13:52:37.149 Number of processors: 2 586 0x605
13:52:37.149 ComputerName: PC-DE-USER UserName: user
13:52:38.834 Initialize success
13:52:39.645 AVAST engine defs: 12040301
13:52:56.540 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
13:52:56.540 Disk 0 Vendor: ST3160815AS 3.AAA Size: 152627MB BusType: 3
13:52:56.556 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-1
13:52:56.556 Disk 1 Vendor: Hitachi_HDP725016GLA380 GMBOA5NA Size: 152627MB BusType: 3
13:52:56.571 Disk 0 MBR read successfully
13:52:56.571 Disk 0 MBR scan
13:52:56.571 Disk 0 Windows VISTA default MBR code
13:52:56.587 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152625 MB offset 2048
13:52:56.602 Disk 0 scanning sectors +312578048
13:52:56.727 Disk 0 scanning C:\Windows\system32\drivers
13:53:03.123 File: C:\Windows\system32\drivers\dfsc.sys **SUSPICIOUS**
13:53:16.820 Disk 0 trace - called modules:
13:53:16.851 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8575cbc0]<<
13:53:16.867 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x843fe630]
13:53:16.867 3 ntkrnlpa.exe[81cb07e2] -> nt!IofCallDriver -> [0x856fa250]
13:53:16.882 \Driver\00000657[0x856fa378] -> IRP_MJ_CREATE -> 0x8575cbc0
13:53:17.569 AVAST engine scan C:\Windows
13:53:26.929 AVAST engine scan C:\Windows\system32
13:53:44.167 File: C:\Windows\system32\cmuda3.dll **INFECTED** Win32:Sirefef-PM [Rtk]
13:56:22.587 File: C:\Windows\assembly\GAC_MSIL\Desktop.ini **INFECTED** Win32:Sirefef-PL [Rtk]
13:56:57.578 AVAST engine scan C:\Windows\system32\drivers
13:57:17.546 AVAST engine scan C:\Users\user
13:57:18.076 File: C:\Users\user\AppData\Local\da6e6557\U\800000c0.@ **INFECTED** Win32:Sirefef-PL [Rtk]
13:59:20.471 AVAST engine scan C:\ProgramData
14:00:08.294 Scan finished successfully
14:05:02.667 Disk 0 MBR has been saved successfully to "C:\Users\user\Desktop\MBR.dat"
14:05:02.683 The log file has been saved successfully to "C:\Users\user\Desktop\aswMBR.txt"
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 14:10
3 avril 2012 à 14:10
Tu peux essayer celui de Panda : https://forum.malekal.com/viewtopic.php?t=37048&start=
voir s'il arrive à le virer.
voir s'il arrive à le virer.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 14:20
3 avril 2012 à 14:20
Tu peux transférer par clef USB ?
Sinon :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
~~
Retente BitDefender alors.
Sinon :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
~~
Retente BitDefender alors.
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.04.03.06
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
user :: PC-DE-USER [administrateur]
Protection: Activé
03/04/2012 14:40:02
mbam-log-2012-04-03 (14-40-02).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 172952
Temps écoulé: 5 minute(s), 26 seconde(s)
Processus mémoire détecté(s): 1
C:\Users\user\86x2hpzkl9.exe (Trojan.Agent.H) -> 940 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 1
C:\Windows\System32\cmuda3.dll (Rootkit.0Access) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|86x2hpzkl9 (Trojan.Agent.H) -> Données: C:\Users\user\86x2hpzkl9.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 7
C:\Users\user\86x2hpzkl9.exe (Trojan.Agent.H) -> Suppression au redémarrage.
C:\Windows\System32\cmuda3.dll (Rootkit.0Access) -> Suppression au redémarrage.
C:\Users\user\AppData\Local\Temp\D7A1.tmp (Trojan.Agent.H) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2012.04.03.06
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
user :: PC-DE-USER [administrateur]
Protection: Activé
03/04/2012 14:40:02
mbam-log-2012-04-03 (14-40-02).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 172952
Temps écoulé: 5 minute(s), 26 seconde(s)
Processus mémoire détecté(s): 1
C:\Users\user\86x2hpzkl9.exe (Trojan.Agent.H) -> 940 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 1
C:\Windows\System32\cmuda3.dll (Rootkit.0Access) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|86x2hpzkl9 (Trojan.Agent.H) -> Données: C:\Users\user\86x2hpzkl9.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 7
C:\Users\user\86x2hpzkl9.exe (Trojan.Agent.H) -> Suppression au redémarrage.
C:\Windows\System32\cmuda3.dll (Rootkit.0Access) -> Suppression au redémarrage.
C:\Users\user\AppData\Local\Temp\D7A1.tmp (Trojan.Agent.H) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
qu'est ce que je fais, j'ai relancé une analyse après redémarrage, il reste des fichiers infectés et malware conclut ainsi:
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.04.03.06
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
user :: PC-DE-USER [administrateur]
Protection: Activé
03/04/2012 15:19:54
mbam-log-2012-04-03 (15-19-54).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 172119
Temps écoulé: 8 minute(s), 14 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 1
C:\Windows\System32\sp_rssrv.dll (Rootkit.0Access) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Windows\System32\sp_rssrv.dll (Rootkit.0Access) -> Suppression au redémarrage.
C:\Users\user\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.04.03.06
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
user :: PC-DE-USER [administrateur]
Protection: Activé
03/04/2012 15:19:54
mbam-log-2012-04-03 (15-19-54).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 172119
Temps écoulé: 8 minute(s), 14 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 1
C:\Windows\System32\sp_rssrv.dll (Rootkit.0Access) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Windows\System32\sp_rssrv.dll (Rootkit.0Access) -> Suppression au redémarrage.
C:\Users\user\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 15:50
3 avril 2012 à 15:50
Refais BitDefender.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 16:20
3 avril 2012 à 16:20
et il parvient à nettoyer ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
3 avril 2012 à 16:32
3 avril 2012 à 16:32
:)
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
et :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
et :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !